Skygofree — un cheval de Troie d’espionnage sophistiqué pour Android

Menaces

La majorité des chevaux de Troie se ressemblent : après être entrés dans un dispositif, ils volent les informations de paiement du propriétaire, minent des crypto-devises pour les attaquants ou cryptent les données et exigent une rançon. Mais certains montrent des capacités qui rappellent les films d’espionnage hollywoodiens.

Nous avons découvert récemment un cheval de Troie cinématographique dans ce genre appelé Skygofree (cela n’a rien à voir avec le service de télévision Sky Go ; il porte le nom d’un des domaines qu’il utilisait). Skygofree regorge de fonctions, dont certaines n’avaient jamais été rencontrées ailleurs. Par exemple, il peut suivre l’emplacement d’un appareil sur lequel il est installé et activer l’enregistrement audio lorsque le propriétaire se trouve à un certain endroit. Dans la pratique, cela signifie que les agresseurs peuvent commencer à écouter les victimes quand, par exemple, elles arrivent au bureau ou visitent la maison du PDG.

Une autre technique intéressante employée par Skygofree consiste à connecter subrepticement un smartphone ou une tablette infectés à un réseau Wi-Fi contrôlé par les attaquants – même si le propriétaire de l’appareil a désactivé toutes les connexions Wi-Fi de l’appareil. Cela permet de collecter et d’analyser le trafic de la victime. En d’autres termes, quelqu’un, quelque part, saura exactement quels sites ont été consultés et quels sont les identifiants, mots de passe et numéros de carte qui ont été saisis.

Le programme malveillant dispose également de quelques fonctions qui l’aident à fonctionner en mode veille. Par exemple, la dernière version d’Android peut arrêter automatiquement les processus inactifs pour économiser la batterie, mais Skygofree est capable de contourner cette fonctionnalité en envoyant périodiquement des notifications système. Et sur les smartphones conçus par l’un des grands noms de la technologie, où toutes les applications sauf les favorites, sont arrêtées lorsque l’écran est éteint, Skygofree s’ajoute automatiquement à la liste des favoris.

Les malwares peuvent également surveiller les applications populaires telles que Facebook Messenger, Skype, Viber et WhatsApp. Dans ce dernier cas, les développeurs ont de nouveau fait preuve de savoir-faire – le cheval de Troie lit les messages WhatsApp via les Services d’accessibilité. Nous avons déjà expliqué comment cet outil pour les utilisateurs malentendants ou malvoyants peut être utilisé par des intrus pour contrôler un appareil infecté. C’est une sorte d' » œil numérique  » qui lit ce qui est affiché à l’écran, et dans le cas de Skygofree, il recueille les messages de WhatsApp. L’utilisation des services d’accessibilité nécessite la permission de l’utilisateur, mais le malware cache la demande d’autorisation derrière une autre requête apparemment innocente.

Enfin et surtout, Skygofree peut allumer secrètement la caméra frontale et prendre une photo lorsque l’utilisateur déverrouille l’appareil – on ne peut que deviner comment les criminels utiliseront ces photos.

Cependant, les auteurs de ce cheval de Troie innovant n’ont pas renoncé aux fonctionnalités plus banales. Skygofree peut également intercepter des appels, des messages SMS, des entrées de calendrier et d’autres données utilisateur.

La promesse d’un Internet rapide

Nous n’avons découvert Skygofree que récemment, fin 2017, mais notre analyse montre que les attaquants l’utilisent – et l’ont amélioré constamment – depuis 2014. Au cours des trois dernières années, il est passé d’un malware plutôt simple à un spyware complet et multifonctionnel.

Le malware est distribué par le biais de faux sites Web d’opérateurs mobiles, où Skygofree est déguisé en mise à jour pour améliorer la vitesse de l’Internet mobile. Si un utilisateur tombe dans le piège et télécharge le cheval de Troie, il affiche une notification indiquant que l’installation est censée être en cours, se cache de l’utilisateur et demande des instructions supplémentaires au serveur de commande. En fonction de la réponse, il peut télécharger différentes charges utiles : les attaquants ont des armes adaptées à toutes les situations.

Mieux vaut prévenir

À ce jour, notre service de protection cloud n’a enregistré que quelques infections, toutes localisées en Italie. Mais cela ne signifie pas que les utilisateurs d’autres pays peuvent baisser la garde ; les distributeurs de logiciels malveillants peuvent changer leur public cible à tout moment. La bonne nouvelle, c’est que vous pouvez vous protéger contre ce cheval de Troie avancé comme de toutes les autres infections :

  1. Installez uniquement des applications depuis les magasins officiels. Il est recommandé de désactiver l’installation des applications depuis des sources tierces, ce que vous pouvez faire dans les paramètres de votre smartphone.
  2. En cas de doute, ne téléchargez pas. Faites attention aux noms d’applications mal orthographiés, aux petits nombres de téléchargements ou aux demandes d’autorisation douteuses – toutes ces choses devraient attirer l’attention.
  3. Installez une solution de sécurité fiable, par exemple Kaspersky Internet Security pour Android. Cela protègera votre appareil de la plupart des applications et des fichiers malveillants, des sites internet suspects et des liens dangereux. La version gratuite permet de réaliser des analyses manuellement et la version payante les réalise automatiquement.

 

 

  1. Nous recommandons aux utilisateurs d’entreprise d’utiliser Kaspersky Security for Mobile, un composant de Kaspersky Endpoint Security for Business, afin de protéger les téléphones et les tablettes que les employés utilisent au travail.